Cibersecuestro GANDCRAB 5.2

Conocido también como: el virus GANDCRAB 5.2
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GANDCRAB 5.2

¿Qué es GANDCRAB 5.2?

GANDCRAB 5.2 es un programa de tipo ransomware que se es usado por sus desarrolladores (ciberdelincuentes) con la finalidad de cifrar los datos almacenados en el equipo de sus víctimas y lo mantienen encriptado a no ser que se pague un rescate. Este cibersecuestro crea una archivo de petición de rescate y le asigna un nombre aleatorio, por ejemplo: "DSEWRBG-DECRYPT.txt". GANDCRAB 5.2 hace lo mismo con la extensión que se añade a cada archivo encriptado. Si el archivo antes de encriptarse se llamaba "1.jpg", luego puede pasar a llamarse "1.jpg.dsewrbg" o similar. También cambia el fondo del escritorio de la víctima. GANDCRAB 5.2 es una de tantas versiones del cibersecuestro GANDCRAB.

En la petición de rescate "DSEWRBG-DECRYPT.txt" (su nombre puede variar), los ciberdelincuentes instan a sus víctimas a no eliminar este archivo de texto hasta que los datos se recuperen (descifren). Según ellos, eliminarlos podrían ocasionar algunos errores de descifrado. Como dicen, la única forma de descifrar los datos es comprar una clave de descifrado. Para realizar el descifrado de datos, las víctimas de GANDCRAB 5.2 tienen que descargar e instalar el navegador TOR primero y luego abrir el enlace que se facilita en la nota de rescate. El sitio web muestra un plazo que, si no se cumple, hará que el precio del descifrado se duplique. Por lo que si el precio original de la clave de descifrado es de $1200, justo después de un plazo de tiempo determinado se incrementará hasta los $2400. Para hacer el pago, las víctimas tienen que usar criptomoneda DASH o Bitcoin y transferirla haciendo clic en un enlace que apunta a una dirección de monedero de criptomonedas. Antes de hacer el pago, esos ciberdelincuentes ofrecen a sus víctimas una desencriptación gratuita de un archivo. Es bastante común que los desarrolladores de ransomware ofrezcan un descifrado gratuito como prueba de que son capaces de ofrecer herramientas o claves requeridas para hacer un descifrado con éxito. Recientemente, la empresa de seguridad antimalware Bitdefender lanzó una herramienta de descifrado que era capaz de restaurar los archivos cifrados por las anteriores versiones del ransomware GANDCRAB. Por tanto, es muy probable que los ciberdelincuentes (los desarrolladores de GANDCRAB 5.2) hayan lanzado una nueva versión en respuesta a ello. No existe ninguna herramienta que pueda desencriptar el cifrado de forma gratuita, al menos de momento no. Esto quiere decir que los usuarios que tengan infectados los equipos con este ransomware pueden ser chantajeados fácilmente y se ven obligados a contactar con los desarrolladores. Casi todos los ciberdelincuentes usan algoritmos de encriptación (simétricos o asimétricos) que imposibilitan el descifrado sin usar una herramienta determinada. Por desgracia, casi siempre los ciberdelincuentes son los únicos que tienen y pueden ofrecer esas herramientas. Si su PC está infectado con GANDCRAB 5.2, la única forma de recuperar los datos será usando una copia de seguridad y restaurando todo de ahí.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GandCrab 5.2

Hay muchos programas de tipo ransomware, casi todos ellos son muy similares. Sin embargo, casi todos ellos se parecen mucho entre sí. GANDCRAB 5.2 comparte similitudes con otros programas maliciosos de este tipo como Shadi, Cammora, Heets y otros tantos. Las similitudes más comunes (y principales) entre esas infecciones son que están diseñadas para cifrar datos y mantenerlos encriptados a no ser que el rescate se pague o se compre la herramienta de descifrado. Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Por desgracia, los archivos encriptados suelen poder desencriptarse sin tener que contactar con los ciberdelincuentes solo si el ransomware está en desarrollo, tiene algunos fallos, errores, etc. Por ello, recomendamos crear copias de seguridad de los datos de forma regular y conservarlos en un servidor remoto o en un dispositivo de almacenamiento. De ese modo, esas copias estarán protegidas y no encriptarán junto con los restantes datos.

¿Cómo llegó el cibersecuestro a mi equipo?

El método exacto que usan los ciberdelincuentes para propagar el ransomware de GANDCRAB 5.2 es desconocido. Sin embargo, casi todos los programas de este tipo se propagan a través de campañas de correo basura, troyanos, herramientas falsas de actualización o fuentes de descarga de dudosa fiabilidad. Las campañas de spam pueden ser (y son) usadas para propagar varias infecciones a través de archivos maliciosos adjuntos. Esos adjuntos suelen ser documentos Microsoft Office, ficheros PDF, documentos, archivos (ZIP, RAR y otros), PDF, ejecutables, JavaScript y otros archivos. Si se abren o ejecutan, esos adjuntos descargarán e instalarán infecciones informáticas como ransomware u otros programas maliciosos de alto riesgo. Los troyanos son programas maliciosos que tienen que estar instalados previamente. Si es así, esos programas pueden ocasionar infecciones en cadena: descargan e instalan otros programas maliciosos. Los actualizadores falsos de software suelen infectar sistemas, bien descargando software malicioso en vez de actualizaciones, o bien abusando de fallas de seguridad en el software. Los sitios web de alojamiento de archivos, los sitios web de descargas gratuitas, las redes P2P (como clientes torrent, eMule, etc.) y otras fuentes de descarga no oficiales son usados también por parte de los ciberdelincuentes. Presentan archivos maliciosos (o varias apps maliciosas) como legítimas. Al descargar e instalarlos, los usuarios ocasionan la infección del equipo ellos mismos. Otra forma de hacer un daño de estas características es a través de herramientas para piratear software. En teoría, están diseñadas para activar software de pago o sistemas operativos y permitirles a los usuarios que lo usen gratis. Sin embargo, a menudo los ciberdelincuentes propagan herramientas de activación que están diseñadas en realidad para instalar programas maliciosos.

Datos básicos de la amenaza:
Nombreel virus GANDCRAB 5.2
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus GANDCRAB 5.2, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Le recomendamos pensárselo dos veces antes de abrir adjuntos o enlaces web que estén presentes en correos recibidos de direcciones desconocidas o sospechosas. Si el correo es irrelevante o contiene algún adjunto, le recomendamos no abrirlo. Al menos, no sin verificar que sea seguro. Descargue software solo de fuentes oficiales usando enlaces de descarga directa. No se recomienda usar varios asistentes de instalación o de descarga. Es posible que esas fuentes se usen para distribuir aplicaciones malintencionadas que infecten equipos u ocasionen otros problemas. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales y no por asistentes de actualización de terceros. Finalmente, tenga instalado y siempre en funcionamiento un software reputable antivirus y antiespía. Si su equipo está infectado ya con GandCrab 5.2, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware GANDCRAB 5.2 (en este caso, "DSEWRBG-DECRYPT.txt"):

---= GANDCRAB V5.2 =---
******************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED*******************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .DSEWRBG
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/113737081e857d00
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---

Captura de pantalla del fondo de pantalla de GandCrab 5.2:

fondo de escritorio GANDCRAB 5.2

Captura de pantalla del sitio web de GANDCRAB 5.2:

sitio web GANDCRAB 5.2

Texto mostrado en este sitio web:

If the payment isn't made until 1/18/2019, 11:11:06 AM, the cost of decrypting files will be doubled
Countdown to double price: Time is up. Price is doubled!
What's the matter?
Your computer has been infected with GandCrab Ransomware.
All your files have been encrypted and you are not able to decrypt it by yourself.

To decrypt your files you have to buy GandCrab decryptor
The price is - 2400 USD
What can I do to get my files back?
You should buy our software GandCrab Decryptor. It will scan your PC, network share, all connected devices and check for encrypted files and decrypt it. Current price: 2400 USD. We accept cryptocurrency DASH and Bitcoin
What guarantees can you give me?
To be sure we have the decryptor and it works you can use free decrypt and decrypt one file for free.
But this file must be an image, because images usually are not valuable.
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
Easy. The list of the most popular exchange services:
BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

The full list of exchange services for Bitcoin here and for DASH here.
Create an account
Charge the balance with a credit card or paypal
Buy requested amount of coins (Bitcoin or DASH)
Make withdrawal to our address

Attention
Don't delete file *-DECRYPT.txt before full restore of your PC.

Captura de pantalla de archivos cifrados por GANDCRAB 5.2 (extensión ".dsewrbg"):

Archivos cifrados por GANDCRAB 5.2

Como se ha indicado anteriormente, Bitdefender ha lanzado una herramienta de descifrado capaz de recuperar los datos encriptados por GandCrab V1, V4 y todas las versiones V5 (hasta la 5.1). Por tanto, las víctimas pueden descifrar sus datos fácilmente sin pagarles a los ciberdelincuentes. Podrá encontrar más información en este artículo y podrá descargar el desencriptador haciendo clic en este enlace.

Captura de pantalla del software desencriptador de GandCrab de Bitdefender:

herramienta de descifrado del ransomware GANDCRAB por Bitdefender

Eliminar el cibersecuestro GANDCRAB 5.2:

Eliminar automáticamente de forma instantánea el virus GANDCRAB 5.2: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus GANDCRAB 5.2. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

QMenú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GANDCRAB 5.2. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GANDCRAB 5.2 se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GANDCRAB 5.2.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GANDCRAB 5.2 eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GANDCRAB 5.2, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GANDCRAB 5.2.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GANDCRAB 5.2:

Fuente: https://www.pcrisk.com/removal-guides/14510-gandcrab-5-2-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus GANDCRAB 5.2 Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus GANDCRAB 5.2 desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus GANDCRAB 5.2:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.